DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

ddos防御工具_国外高防服务器_精准

01-13 WEB安全

ddos防御工具_国外高防服务器_精准

COM简介组件对象模型(Component Object Model,COM)是微软在90年代初引入的一种非常古老的技术,它允许以独立于语言和体系结构的方式开发和使用二进制软件组件。为此,COM类由COM服务器提供,并可以由COM客户端实例化为COM对象。服务过程可以与实例化过程相同,也可以是两个不同的进程,即使在不同的计算机上也是如此。每个COM类由128位CLSID唯一标识。除此之外,客户机不需要了解实现细节,所有通信都是通过定义良好的接口来处理的。尽管COM是一个相当古老的系统,ddos防御详解,但它仍然是许多新技术不可或缺的一部分,例如.NET、WinRT和DirectX。多年来,微软逐步引入了新的COM接口来控制各种Windows组件,如音频设备、防火墙或internetexplorer。这些接口与标准的windowsapi一起存在,而且功能几乎一样强大。对于恶意软件来说,COM提供了一种有价值的方式来秘密地执行与安全相关的系统操作,因为它很难监视和分析。尤其是基于行为的分析器("沙盒")很难处理相关的COM API,而且大多数情况下根本无法监控它们。这源于COM固有的巨大复杂性:COM方法可以在不同的地方执行:进程内、进程外、通过RPC,甚至在远程系统(DCOM)上COM类没有简单可用的导出信息COM服务器函数可以通过自定义代理DLL中的代理函数进行路由COM功能的实现因Windows版本和体系结构的不同而不同大多数恶意软件分析程序只在WinAPI或NTAPI级别监视恶意软件与其环境之间的交互。但是,这个抽象级别不允许对COM通信进行适当的监视。这主要是由该层上的大量噪声引起的,很难与实际恶意软件行为区分开来。如果使用进程外COM对象,情况会更糟。为了跟踪不同的方法调用,分析器还需要监视服务器进程并有效地过滤掉其中所有不相关的调用。这几乎不可能以通用的方式进行管理。因此,为了避免被恶意软件所规避和分析相关的COM活动,需要在COM接口层直接进行监控。这是一项艰巨而艰巨的任务。每个使用的COM对象的接口都需要事先知道,因为它包含有关提供的方法、它们的原型和相关结构的描述。在分析期间,需要这些信息来识别实际调用的方法并检索所有实际参数值。要获得此接口描述,必须搜索和解析不同的源。有时,它以依赖于体系结构的typelib资源(嵌入在可执行文件中或存储为附加文件)的形式交付。在其他情况下,它可以从独立于体系结构的接口定义语言(IDL)文件中收集。使用COM的恶意软件监控COM交互的复杂性为恶意软件隐藏其恶意行为提供了一个理想的机会。通过使用COM而不是调用常见的windowsapi函数,大多数沙盒都是盲的。事实上,到目前为止,我们测试过的动态分析器都没有正确地处理COM恶意软件:要么它们生成不完整且有噪声的分析结果,要么完全失败。今天,有很多恶意软件已经在利用COM,主要是为了修改注册表项或更改防火墙设置。然而,也有更复杂的用例,比如使用internetexplorer的COM接口来检测它。这种方法对恶意软件有几个优点:无需关心网络或安全设置,例如代理或防火墙规则。通常情况下,一切都是为Internet Explorer设置的。IE可以完全自动化和检测,开发防御ddos,例如,导航到某个URL、下载文件或与HTML文档的表单字段交互。所有的东西都可以很容易地隐藏起来。一个新创建的IE窗口在默认情况下是不可见的,如果浏览器之前已经加载到内存中,那么另外一个实例就相当不可靠了。VMRay综合功能日志我们现在简要介绍一下VMRay Analyzer处理此类复杂COM恶意软件的特殊功能。一般来说,VMRay以许多不同的抽象级别和格式提供分析数据。输出的范围从机器可解析的XML或JSON格式的IOC列表到HTML中聚合的高级行为描述。为了说明COM恶意软件的行为,我们利用其全面的功能日志,该日志包含最高语义级别的每个函数调用:COM方法在COM接口层上被监视,Win32API调用在WinAPI层上被监视,在NTAPI层上监视本机API调用,直接系统调用在sysenter/syscall上监视,等等…只有第三代监控方法才能保存恶意的高层语义,当只在API级别进行监控时,这种语义通常会完全丢失。此外,抑制低级别的子函数调用和递归函数调用可以提供结果报告的高信息密度,而噪声级几乎为零。最后,由于中断恶意软件执行的次数比传统的基于仿真/挂钩的方法少得多,因此分析过程非常快。IcoScript恶意软件下面我们将从VMRay对IcoScript恶意软件的分析中摘录,该恶意软件利用COM与公共Yahoomail网站建立隐形连接,以便从中检索命令和控制命令。Paul Rascagnères(G Data)之前已经创建了这个远程管理工具的静态分析:https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript。初始化首先,通过调用CoInitialize初始化COM系统。然后,使用CoCreateInstance创建一个Internet Explorer实例(CLSID 2df01-0000-00000-c00000000000046)。最后,通过将visible变量设置为false来确保生成的实例不可见。[0018.632]CoInitialize(pvReserved=0x0)返回0x0[0028.643]CoCreateInstance(in:rclsid=0x4075f8*(Data1=0x2df01,高防御ddos系统,Data2=0x0x0,Data3=0x0,Data3=0x0,Data4=([0]==0xc0,[1]==0x0,[2]==0x0,[3]=0x0,[3]=0x0,[4]=0x0,[5]=0x0,[6]=0x0]=0x0,[7]==0x46)),pUnkOuter=0x0,DWCLSCContext=0x17,riid=0x407608*(Data1=0xD30C60661,Data2=0xcdaf,Data3]=0xcdaf,Data3][4]=0xcdaf,Data3][4]=0x5=0x11d0,数据4=([0]==0x8a,[1]==0x3e,[2]==0x0,[3]==0xc0,高防cdn高防ip防ip,[4]==0x4f,[5]==0xc9,[6] ==0xe2,[7]==0x6e)),ppv=0x18f20c | out:ppv=0x18f20c*=0x1effb0)返回0x0[0030.036]未知:AddRef(This=0x1effb0)返回0x2[0030.036]实习生作者:IWebBrowserApp:put_Visible(This=0x1effb0,Visible=0)返回0x0导航之后,IE COM接口用于加载自定义URL。调用者只需要初始化一些变量(比如URL)并调用Navigate函数。在我们的示例中,恶意软件首先打开关于:空白页面,然后导航到法国Yahoomail网站作者调用get-Tu Busy,它将等待IE完成下载操作。[0030.040]实习生tExplorer:IWebBrowser:导航(This=0x1effb0,URL=关于:空白",Flags=0x18f1ac*(varType=0x3,wReserved1=0x18,wReserved2=0xf29c,wReserved3=0x18,varVal1=0x2,varVal2=0xffffff),TargetFrameName=0x18f1bc*(varType=0x8,wReserved1=0x18,wReserved2=0xf1f4,wReserved3=0x18,bstrVal="৻top"),PostData=0x18f1cc*(varType=0x8,100m宽带防御多少ddos,wReserved1=0x74f3,wReserved2=0x58,wReserved3=0x1d3,bstrVal=0x0),Headers=0x18f1cc*(varType=0x8,wReserved1=0x74f3,wReserved2=0x58,wReserved3=0x1d3,bstrVal=0x0))返回0x0[0038.280]实习医生作者:IWebBrowserApp:put_Visible(This=0x1effb0,Visible=0)返回0x0[0046.283]实习生作者:IWebBrowserApp:put_Visible(This=0x1effb0,Visible=0)返回0x0[0046.284]实习生tExplorer:IWebBrowser:get_Busy(in:This=0x1effb0,pBool=0x18f22c | out:pBool=0x18f22c*=0x0)返回0x0[0046.291]实习生tExplorer:IWebBrowser:导航(This=0x1effb0,URL=http://mail.yahoo.fr",Flags=0x18ed58*(varType=0x3,wReserved1=0x18,wReserved2=0xedbc,wReserved3=0x18,varVal1=0x2,varVal2=0xffffff),TargetFrameName=0x18ed68*(varType=0x8,wReserved1=0x18,wReserved2=0xed0,wReserved3=0x18,bstrVal=",PostData=0x18ed78*(varType=0x8,wReserved1=0x74f3,wReserved2=0x378,wReserved3=0x1d3,bstrVal=0x0),Headers=0x18ed78*(varType=0x8,wReserved1=0x74f3,wReserved2=0x378,wReserved3=0x1d3,bstrVal=0x0))返回0x0[0054.379]实习生作者:IWebBrowserApp:put_Visible(This=0x1effb0,Visible=0)返回0x0[0062.402]实习医生作者:IWebBrowserApp:put_Visible(This=0x1effb0,Visible=0)返回0x0[0062.414]实习医生tExplorer:IWebBrowser:get_Busy(in:This=0x1effb0,pBool=0x18f22c | out:pBool=0x18f22c*=0x0)返回0x0与网站的互动导航完成后,恶意软件通过调用get_document检索结果文档的IDispatch接口。这个接口用于获取一个HTML接口(IHTMLDocument2,iid332c4425-26cb-11d0-b483-00c04fd90119),然后通过调用get_all方法获取所有HTML元素。[0062.419]实习医生tExplorer:IWebBrowser:get_Document(in:This=0x1effb0,ppDisp=0x18fea8 | out:ppDisp=0x18fea8*=0x2cab5c)返回0x0[0062.420]未知:查询接口(in:This=0x2cab5c,riid=0x407618*(Data1=0x332c4425,Data2=0x26cb,Data3=0x11d0,Data4=([0]==0xb4,[1]==0x83,[2]==0x0,[3]==0xc0,[4]==0x4f,[5]==0xd9,[6]==0x1,[7]==0x19)),ppvObject=0x18fea0 | out:ppvObject=0x18fea0*=0x301e04)返回0x0[0062.430]IHTMLDocument2:get_all(in:This=0x301e04,p=0x18fea4 | out:p=0x18fea4*=0x301f24)返回0x0[0062.442]我知道:释放(This=0x2cab5c)返回0x1此方法返回IHtmleElementCollection接口,该接口随后用于检索

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61282.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8169575访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X